19/09/2019 di Redazione

DNS hijacking: il “dirottamento” fa danni ma possiamo evitarlo

Come funzionano gli attacchi di dirottamento dei Domain Name System, quali rischi comportano e, soprattutto, come possiamo mitigarli? Ce ne parla Yair Green, Cto di GlobalDots.

immagine.jpg

Tutti sanno che cosa sia il DNS (Domain Name System) e anche quanto questo sistema sia fondamentale per il funzionamento dei siti Internet e di una miriade di altre applicazioni e servizi connessi alla Rete. Ma sappiamo anche che il DNS è spesso vittima di attacchi informatici di vario tipo, fra cui quelli di “dirottamento”, cioè di DNS hijacking. Che cosa sono esattamente, perché si verificano e come possiamo arginarli? Ce ne parla Yair Green, Cto di GlobalDots, ssytem integrator, chief technology officer di GlobalDots, system integrator tedesco attivo a livello internazionale, la cui sede italiana si trova a Milano.

Il DNS (Domain Name System) è fondamentale per tutte le organizzazioni che si affidano a Internet per la conduzione degli affari, è fondamentale per le prestazioni e l'affidabilità delle vostre applicazioni Internet e dei vostri servizi cloud. Un guasto del DNS o prestazioni scadenti portano all'indisponibilità di applicazioni, dati e contenuti, causando frustrazione degli utenti, perdita di vendite e danni alla reputazione aziendale.

I server DNS (Domain Name System) sono spesso definiti  le “rubriche telefoniche di Internet" e vengono impiegati per risolvere (cioè convertire) hostname leggibili dall'uomo in indirizzi IP leggibili dalle macchine. Forniscono anche altre informazioni utili sui nomi di dominio, come i servizi di posta elettronica. Se, per esempio, si conosce il nome di qualcuno ma non il suo numero di telefono, è possibile utilizzare una rubrica telefonica per trovare il suo numero. I servizi DNS sfruttano la stessa logica: quando si richiedono dati per una località Web, si digita il nome e poi i server DNS trovano l’indirizzo IP. Tali “elenchi telefonici” su Internet influenzano notevolmente l'accessibilità delle ubicazioni Web ed è proprio per questo motivo che il DNS è fondamentale per qualsiasi organizzazione che si affidi alla Rete per connettersi a clienti, partner, fornitori e dipendenti.

Che cos'è il DNS Hijacking?
Il DNS Hijacking, chiamato anche domain hijacking, è un attacco in cui gli indirizzi DNS vengono dirottati e il traffico reindirizzato verso falsi server DNS. Una volta che un indirizzo DNS è stato dirottato con successo su un server DNS fasullo, si traduce l'indirizzo IP legittimo o il nome DNS nell'indirizzo IP del sito Web malevolo di scelta dell'hacker. Molti Internet Service Provider (Isp) impiegano un tipo di DNS hijacking per rilevare le richieste DNS di un utente, raccogliere statistiche e fornire annunci pubblicitari quando l’internauta accede a un dominio sconosciuto. Alcuni governi utilizzano il DNS hijacking per la censura, reindirizzando gli utenti verso siti autorizzati dal governo. Il dirottamento dei DNS può avvenire con siti Web di qualsiasi dimensione. 

Poiché i proprietari dei siti dipendono da server DNS legittimi messi a disposizione dai loro Internet Service Provider, i dirottatori utilizzano malware sotto forma di trojan per scambiare l'assegnazione legittima del server DNS da parte dell'Isp con un'assegnazione manuale del server DNS da un server DNS fasullo. Quando gli utenti visitano siti Web, vengono automaticamente dirottati su un sito Web maligno che si spaccia per legittimo. Il passaggio dal server DNS legittimo al server DNS fasullo passa inosservato sia all'utente sia al legittimo proprietario del sito web. A questo punto il sito Web dannoso può fare praticamente tutto quello che vuole, fintanto che la persona che crede di trovarsi dove dovrebbe essere.

Un attacco informatico di DNS Hijacking ha una serie di scopi. Può essere utilizzato per il pharming, cioè per mostrare annunci indesiderati per generare entrate su siti molto frequentati, o per il phishing, in cui si mostrano versioni false di siti Web per rubare dati o credenziali. In definitiva, è possibile subire una violazione dei dati a seguito di un dirottamento del DNS, in quanto le credenziali possono essere facilmente estratte mentre la vittima è attiva sul sito fasullo dell'aggressore. Inoltre è utilizzabile per iniettare malware su un sistema.

Sei tipi di attacco DNS hijacking
Una prima tipologia di attacco prevede il dirottamento DNS locale: gli aggressori installano malware Trojan sul computer dell'utente e modificano le impostazioni DNS locali per reindirizzare chi naviga verso siti dannosi. Nel router DNS hijack si sfrutta il fatto che molti dispositivi di rete abbiano password predefinite o vulnerabilità del firmware: gli aggressori possono rilevare un router e manomettere le impostazioni DNS, intercettando tutti gli utenti collegati a quel router.

Negli attacchi DNS “man in the middle”, invece, gli aggressori intercettano la comunicazione tra un utente e un server DNS e forniscono diversi indirizzi IP di destinazione che puntano a siti dannosi. Con il Rogue DNS Server è possibile violare un server DNS e modificare i record DNS per reindirizzare le richieste DNS verso siti dannosi. C’è poi il DNS hijacking ricorsivo: poiché la risoluzione dei DNS è gerarchica con caching a livello degli Internet Service Provider, gli hacker rilevano i resolver DNS ricorsivi degli Isp e forniscono risposte false agli utenti finali. Un ultimo metodo è la modifica dei record delle società di registrazione del dominio: l’hacker attacca i record di registrazione del dominio e li modifica in modo che puntino verso un server “disonesto”. 

I metodi di mitigazione del DNS hijacking
Un primo modo per mitigare gli attacchi di questo tipo è l’aggiornamento del DNS nell'infrastruttura applicativa: la mancanza di attenzione per il DNS porta un ritardo rispetto all'innovazione dell'infrastruttura nel cloud, creando falle per un possibile sfruttamento maligno dello stesso. Le aziende stanno sempre di più adottando ambienti fatti di cloud multipli e collegati fra loro, ma devono anche aggiornare e adattare al cloud le loro infrastrutture di base, incluso il DNS.

Un secondo metodo di mitigazione è l’utilizzo del protocollo DNSSEC (Domain Name System Security Extensions), che rafforza l'autenticità delle risposte alle query DNS utilizzando firme digitali per autenticare le comunicazioni, proteggendo le applicazioni (e i risolutori di cache utilizzati da tali applicazioni) dall'impiego di dati DNS falsi in attacchi di avvelenamento della cache e di spoofing. Finora le aziende non hanno fatto grande ricorso al protocollo DNSSEC, perché implementarlo significava sacrificare le capacità di gestione del traffico DNS su cui si fa affidamento per fornire servizi online di alta qualità. Tuttavia, grazie ai recenti sviluppi tecnologici, questo non è più un problema.

In terzo luogo, si può puntare sull’uso dell'autenticazione a due fattori quando si accede al provider DNS autoritativo e alla società di registrazione. Se possibile, è bene definire una whitelist degli indirizzi IP che possono accedere alle impostazioni DNS. Un quarto metodo è il blocco del client, noto anche come client lock o change lock: alcuni fornitori DNS autoritativo e società di registrazione dei domini supportano questa funzione, che impedisce che vengano fatte modifiche ai record DNS senza l'approvazione di una specifica persona designata.

E gli utenti finali? Possono proteggersi dal dirottamento dei DNS cambiando le password del router, installando antivirus e utilizzando un canale VPN criptato. Se l'Internet Service Provider sta dirottando i propri DNS, si può utilizzare un servizio DNS gratuito e alternativo come Google Public DNS, Google DNS su HTTPS e Cisco OpenDNS. Infine, è consigliabile fare un monitoraggio esterno della risoluzione DNS. Anche se gli utenti finali sono protetti e il vostro DNS autoritativo è sicuro, un ISP locale può essere compromesso, per colpire milioni di utenti finali. Dunque è bene eseguire test di risoluzione DNS continui da tutte le posizioni possibili e avvisare il team di sicurezza in caso di modifiche sospette.

ARTICOLI CORRELATI